개인(신용)정보처리위탁 계약서

고객사(이하 “위탁자”라 한다)와 토스페이먼츠㈜(이하 “수탁자”라 한다)는 “위탁자”의 개인(신용)정보 처리업무를 “수탁자”에게 위탁함에 있어 다음과 같은 내용으로 개인(신용)정보업무 위탁계약(이하 “본 계약”)을 체결한다.

제1조 (목적)

이 계약은 “위탁자”가 개인(신용)정보처리업무를 “수탁자”에게 위탁하고, “수탁자”는 이를 승낙하여 “수탁자”의 책임아래 성실하게 업무를 완성하도록 하는데 필요한 사항을 정함을 목적으로 한다.

제2조 (용어의 정의)

본 계약에서 별도로 정의되지 아니한 용어는 「개인정보 보호법」, 같은 법 시행령 및 시행규칙, 「개인정보의 안전성 확보조치 기준」(개인정보 보호위원회 고시), 「표준 개인정보 보호지침」(개인정보 보호위원회 고시), 「신용정보의 이용 및 보호에 관한 법률」 및 같은 법 시행령 및 시행규칙(이하 “관련 법령”)에서 정의된 바에 따른다.

제3조 (위탁업무의 목적 및 범위)

“수탁자”는 계약이 정하는 바에 따라 전자결제서비스 제공 및 전자결제서비스에 수반한 민원처리의 목적으로 다음과 같은 개인(신용)정보 처리 업무를 수행한다.

1.전자결제 요청 시 구매자정보 및 구매상품정보

구매자명, 구매자ID, 상품 주문번호, 상품명, 구매자 휴대폰번호, 구매자 이메일, 결제금액

2.결제수단에 따른 추가정보

[카드 결제 (API연동)] 카드 번호, 카드 유효기간, 생년월일, 카드 비밀번호 앞 2자리
[계좌이체] 은행명
[휴대폰 결제] 통신사정보
[현금영수증 발급] 주민등록번호, 전화번호, 현금영수증카드 번호, 기타 카드번호 중 1개
[해외 결제수단] 결제한 국가코드

3.[결제금액 환불 처리 시]

환불계좌 정보 : 은행, 계좌번호, 예금주 정보

4.[정산업무 대행 이용 시]

정산대상자 정보 : 핸드폰번호, 이메일, 상호명, 사업자등록정보
정산계좌 정보 : 은행, 계좌번호, 예금주 정보

제4조 (위탁업무 기간)

본 계약에 의한 개인(신용)정보 처리업무의 기간은 다음과 같다. 단, 토스페이먼츠 전자결제서비스 이용계약(이하 “원 계약”) 계약기간이 조기 종료 또는 연장되는 경우 본 계약도 해당 기간에 따르는 것으로 한다.

• 계약 기간 : 토스페이먼츠 전자결제서비스 이용계약 효력발생일 ~ 계약 해지 시

제5조 (재위탁 제한)

① “수탁자”는 “위탁자”의 승낙이나 승인을 얻은 경우(본 조 제3항에 따른 경우를 포함한다)를 제외하고 “위탁자”와의 본 계약 상의 권리와 의무의 전부 또는 일부를 제3자에게 양도하거나 재위탁 할 수 없다.

② 위 제1항에도 불구하고 “위탁자”는 위탁 업무인 전자결제서비스 운영과 관련하여, “수탁자”가 이미 체결한 다음의 위탁업무에 대해서는 재위탁을 승인한 것으로 본다.

③ 위 제2항에 규정되지 않은 추가적인 재위탁이 발생하는 경우 “수탁자”는 ‘대표 홈페이지’ 또는 ‘상점관리자’를 통해 재위탁 사실을 “위탁사”에 통보하여야 하며, “위탁사”가 통보를 받은 날로부터 7일 이내에 이의를 제기하지 않는 경우 재위탁을 승인한 것으로 본다.

제6조 (개인(신용)정보에 관한 당사자들의 의무)

① “위탁자”는 본 계약 제3조에 규정된 위탁하는 개인(신용)정보를 “관련 법령”에 따라하게 적법하게 수집하였으며, 이를 “수탁자”에게 위탁하여 처리할 권한을 가지고 있음을 확인한다.

② “수탁자”는 「개인정보 보호법」 제23조제2항 및 제24조제3항 및 제29조, 같은 법 시행령 제21조 및 제30조, 「개인정보의 안전성 확보조치 기준」(개인정보 보호위원회 고시 제2021-2호)에 따라 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 하며, “수탁자”는 “위탁자”와 위탁받은 개인(신용)정보를 송수신하는 경우 “관련 법령”에 따른 보호조치를 취하여야 한다.

③ “수탁자”는 제2 항에 따른 조치를 취하였음에도 불구하고, “위탁자”와 관련된 개인(신용)정보 처리업무에 대해 보안침해 사고 또는 개인정보 유출 사고가 발생했을 경우, 그 사실을 인지한 즉시 “위탁자”에게 통지하여야 한다

제7조 (개인(신용)정보의 처리제한)

① “수탁자”는 계약기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인(신용)정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다.

② “수탁자”는 본 계약 제3조에 따라 수탁받은 개인(신용)정보에 접근할 수 있는 인원을 제한하여야 하며, 전담 관리자를 지정하여 관리하여야 한다.

제8조 (수탁자에 대한 관리·감독 등)

① “위탁자”는 “수탁자”에 대하여 다음 각 호의 사항을 감독할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이에 응하여야 한다.

1. 개인(신용)정보의 처리 현황
2. 개인(신용)정보의 접근 또는 접속기록
3. 개인(신용)정보 접근 또는 접속 대상자
4. 목적외 이용·제공 및 재위탁 제한 준수여부
5. 암호화 등 안전성 확보조치 이행여부
6. 그 밖에 개인(신용)정보의 보호를 위하여 필요한 사항

② “위탁자”는 “수탁자”에 대하여 제1항 각 호의 사항에 대한 실태를 점검하여 시정을 요구할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이행하여야 한다.

③ “위탁자”는 처리위탁으로 인하여 정보주체의 개인(신용)정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 1년에 1회 “수탁자”를 교육할 수 있으며, “수탁자”는 이에 응하여야 한다.

④ 제3항에 따른 교육의 시기와 방법 등에 대해서는 “위탁자”는 “수탁자”와 협의하여 시행한다.

⑤ 제3항 및 제4항에도 불구하고 “위탁자”는 “수탁자”와 협의하여 “수탁자” 스스로 개인(신용)정보 보호 교육을 실시하도록 요청할 수 있으며, “수탁자”가 해당 교육을 실시한 증빙을 제공하는 경우 “수탁자”는 본 조 제3항의 의무를 준수한 것으로 본다.

제9조 (정보주체 권리보장)

“수탁자”는 정보주체의 개인(신용)정보 열람, 정정·삭제, 처리 정지 요청 등에 대응하기 위한 연락처 등 민원 창구를 마련해야 한다.

제10조 (개인(신용)정보의 파기)

① “수탁자”는 제4조의 위탁업무기간이 종료되거나 해지 등으로 본 계약의 효력이 상실되는 경우, 특별한 사유가 없는 한 지체 없이 개인(신용)정보를 “관련 법령”에 따른 방법으로 파기하거나 반환하고 이를 “위탁자”에게 통보하여야 한다.

② 제1항에도 불구하고 전자상거래 등에서의 소비자보호에 관한 법률 등 관련 법령의 규정에 의하여 보존할 필요가 있는 경우 “수탁자”는 관련 법령에서 정한 기간 동안 정보를 보존할 수 있다.

제11조 (손해배상)

① “수탁자” 또는 “수탁자”의 임직원 기타 “수탁자”의 수탁자가 이 계약에 의하여 위탁 또는 재위탁 받은 업무를 수행함에 있어 이 계약에 따른 의무를 위반하거나 “수탁자” 또는 “수탁자”의 임직원 기타 “수탁자”의 수탁자의 귀책사유로 인하여 이 계약이 해지되어 “위탁자” 또는 개인(신용)정보주체 기타 제3자에게 손해가 발생한 경우 “수탁자”은 그 손해를 배상하여야 한다.

② 제1항과 관련하여 개인(신용)정보주체 기타 제3자에게 발생한 손해에 대하여 “위탁자”가 전부 또는 일부를 배상한 때에는 “위탁자”는 이를 “수탁자”에게 구상할 수 있다.

제12조 (분쟁해결)

① 본 계약에 규정되지 아니한 사항 및 계약해석에 대한 이견은 당사자간 협의에 의하여 해소하고, 협의로 해소되지 않는 경우에는 일반적으로 인정되는 상관례에 따른다.

② 본 계약에 관하여 소송을 제기할 경우에는 서울중앙지방법원을 제1심 전속적 합의관할로 한다.